Analiza poprawności implementacji protokołów SSL/TLS

Sprawdzanie poprawności implementacji protokołów SSL/TLS przeprowadza się w celu wykrycia użycia znanych słaby metod szyfrowania lub funkcji skrótu.  Przykładem może być tutaj protokół SSL v2, który nie powinien być już używany ze względu na znane podatności. Innymi błędami których występowanie należy zweryfikować jest użycie  symetrycznego algorytmu szyfrowania z kluczami mniejszymi niż 128 bitów, certyfikatów X.509 używających klucza publicznego mniejszego niż 1024 bitów oraz funkcji skrótu MD5, która znana jest z udanych ataków kolizyjnych. Ważnym czynnikiem jest także sprawdzenie samej aktualności czasowej wykorzystywanego certyfikatu oraz poprawności jego podpisania przez zaufany urząd certyfikacji.

W celu weryfikacji poprawności implementacji protokołu SSL/TLS można posłużyć się narzędziem zwanym testssl.sh. Jest to darmowy program, stworzony przez  Dirk Wettera. Obsługiwany jest z poziomu wiersza poleceń. Sprawdza on usługę danego serwera na dowolnym porcie pod kątem obsługi szyfrowania TLS / SSL, protokołów oraz występowania luk kryptograficznych. Na rysunku poniżej zaprezentowany został wynik skanowania jednej z badanych aplikacji.

Wynik skanowania implementacji SSL/TLS narzędziem testssl.sh

Rys. Wynik skanowania implementacji SSL/TLS narzędziem testssl.sh. Źródło: [Opracowanie własne]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *